恶意软件作者的心态
我正在研究常见的恶意软件特性,我在理解恶意软件作者所做的设计选择时遇到了一些困难。许多上述选择似乎都围绕着让人类分析人员很难分离恶意软件,同时也有可能使自动系统很容易被标记为“可能是恶意的”。我很好奇是否有人能告诉我这种设计选择背后的理由是什么。
例如,一些反逆向工程的策略。是的,它们可能会使分析人员更难逆转恶意软件,但是像TLS回调这样的策略很容易被标记为可疑,特别是因为恶意软件几乎从来没有签名,而大多数用于反RE目的的合法软件是。
另一个例子是反VM策略。大多数AV仿真器在短时间内超时。不需要检测仿真器。只需做几秒钟的事情(除了一些明显延迟的事情,比如调用few ()),而不是做一些非常嘈杂的检查,比如尝试打开一堆VMWare和VirtualBox注册表项。唯一不能超过VM的情况是,有一个人在分析这个示例,如果一个有足够动力的人正在分析一个程序,那么他们最终将能够逆转它,那么为什么还要费心呢?
也许我只是在制造恶意软件方面不够博学,无法理解这一切的目的,但在我看来,恶意软件作者试图绕过的那种系统主要是自动化系统。例如,AV公司用来分析新的、可能是恶意的样本的反病毒引擎或自动沙箱,这些样本将所说的样本排序为“绝对不是恶意的;丢弃”和“潜在的恶意的;发送给人的审查”堆。恶意软件作者的主要目标似乎是防止那些自动系统将程序标记为可疑,以减少恶意软件最终出现在人类分析人员面前的可能性,而不是稍微让最终能够分析恶意软件的人类分析人员感到沮丧。
我知道有些恶意软件作者只是脚本孩子,但我认为至少他们中的一些人会努力做出软件开发的选择。我认为他们对这个问题的了解比我多,因为他们以恶意软件的开发为生。但我无法理解他们所做的一些设计决策。有人能向我解释这些决定背后的理由吗?
回答 2
Security用户
发布于 2019-01-04 20:13:24
我认为你可能在理解反逆向工程方面给予恶意软件作者过多的信任(也可能对专业软件开发人员有太多的信任;)。根据我的经验,大多数恶意软件作者每个人都使用他们自己的“最喜欢的”技术集,并且有一些小的变化(很多时候是基于来自其他作者或研究人员的代码),就像webdev在每次编写密码字段时使用相同的输入消毒代码一样,而不考虑底层的应用程序代码。
另外,关于“为什么它不能解释x策略”:恶意软件是猫和老鼠;即使你创建了“最好的”反重新编码,如果它被足够的使用,它最终将成为一个检测签名。
最后,请记住,没有恶意软件是不受分析的,所以它更类似于游戏中的DRM;在破解之前尽可能多地感染。你可以花上几个月的时间为一个单一的恶意软件设计一些花哨的反再方案,只是为了让它在几天内被破解并变成一个签名,所以最好还是选择数量上的恶意软件而不是质量上的反再防御。
Security用户
发布于 2019-01-10 20:30:15
他们作出这些设计选择的主要原因有两个:
1)因为他们或他们的上级对如何为某一特定的战役、行动或目标设计和实施有情报,所以他们被导向。也许他们知道一些你不知道的事。
2)他们一直在赚钱,所以他们想继续赚钱。他们赚的钱比我们多,而且他们一直在赚。它不会改变,所以他们的公式是可行的。如果它没坏,为什么要修理它?
很少有恶意软件是完全功能和无缺陷的,如莫克,但它会发生。我想说的是,对你的标准来说,莫克也许是一个不寻常的异类,但这是一个例外。它肯定满足了标准的反RE和AV旁路能力。
我想说:
( A)您的结论是,您所想到的这个恶意软件概念过于关注反RE,而对AV旁路关注不足,这可能从一开始就被打破了。我要说的是,任何恶意软件作者显然都想两者兼得,而且这些概念并不是相互对立的。事实上,我会说它们是对数声音,也就是说,它们在各个方面都是可伸缩的。我认为你不包括在你的想法中,它只是很容易捕捉到恶意软件的功能和行为一旦他们被发现-一旦他们被激发…然后它进入到所有的AV中(或者VirusTotal上的30种中的20种).但至少有3个或更多)。大多数恶意软件的保质期不会超过3个月,大多数恶意软件家庭也不会超过3年。然而,你确实在我们现在的第3代(第4代?)的Dridex中看到了一些Vawtrak。吉多。有代码重用,但通常很难找到,而且不清楚。
( B)如今,恶意软件作者需要想出更多的想法--在大多数情况下都是滴水不漏的人。这意味着,他们需要他们的恶意逻辑隐藏在显而易见的地方。他们的关注点实际上可能不是AV旁路技术,也不是反RE技术,而是工艺注射技术技术。那是他们可以花的时间最多的地方,为了赚钱。相比之下,它们的其余代码可以是相当的复制式代码。把几个不同的密码扔到墙上看看有什么用。
https://security.stackexchange.com/questions/196425
复制相似问题
腾讯云开发者
